به گزارش ارزینجا و به نقل از Decrypt، صرافی رمزارزی بیتمکس اعلام کرد که موفق شده تا حمله فیشینگ گروه لازاروس را خنثی کند. این گروه بدنام که به کره شمالی مرتبط است، از روشهایی بهزعم بیتمکس ” غیرفنی و سادهانگارانه ” استفاده کرده بود. همچنین، در پُستی که در تاریخ ۳۰ مِی منتشر شد، بیتمکس توضیح داد که یکی از کارکنان آن از طریق لینکدین با پیشنهادی برای همکاری در پروژه توکن غیرقابل تعویض (NFT) وب۳ مورد هدف قرار گرفته بود.
استفاده لازاروس از کدهای مخرب در قالب پروژههای گیتهاب
در همین حال، مهاجم سعی داشت تا فرد هدف را ترغیب کند تا پروژهای از گیتهاب را اجراء کند که حاوی کد مخرب بود. بیتمکس همچنین میگوید که این روش از تاکتیکهای رایج گروه لازاروس است. به گفته تیم امنیتی، بارگذاری جاوااسکریپت بهشکل مبهمسازیشده بهسرعت شناسایی شد و جزئی از زیرساختهایی مربوط دانسته شد که پیشتر به این گروه ارتباط داده شده بودند. علاوه بر این، نقصی در عملیات امنیتی این گروه باعث شد تا یکی از آدرسهای IP مرتبط با کره شمالی در شهر جیاشینگ چین، در فاصله حدود ۱۰۰ کیلومتری شانگهای، شناسایی شود.
استفاده مداوم از روشهای ابتدایی برای نفوذ به سیستمها
در ادامه، بیتمکس نوشت: ” الگو رایج در عملیاتهای گسترده این گروه، استفاده از روشهای نسبتاً ساده و آغاز حمله با فیشینگ برای نفوذ اولیه به سیستمهای هدف است. ” در بررسی سایر حملات نیز مشخص شد که تلاشهای هکری کره شمالی احتمالاً به چندین زیرگروه با سطوح مختلفی از مهارت فنی تقسیم شدهاند. ” میتوان این موضوع را در نمونههای متعدد از رویههای ضعیف امنیتی در گروههایی مشاهده کرد که در مقایسه با تکنیکهای پیچیدهتری که پس از نفوذ اجراء میشوند، مسئول مهندسی اجتماعی هستند. “
گروه لازاروس و سابقه سرقتهای سنگین رمزارزی
بر این اساس، اصطلاح ” گروه لازاروس ” عنوانی کلی است که شرکتهای امنیت سایبری و نهادهای اطلاعاتی غرب برای چندین تیم هکری وابسته به رژیم کره شمالی به کار میبرند. در همین حال، در سال ۲۰۲۴، شرکت Chainalysis اعلام کرد که بازیگران کره شمالی در مجموع ۱.۳۴ میلیارد دلار ارز دیجیتال به سرقت بردهاند. این رقم ۶1 درصد کل سرقتهای آن سال را در ۴۷ حادثه تشکیل میدهد. این میزان همچنین نسبت به رقم ۶۶۰ میلیون دلاری سال ۲۰۲۳، افزایشی ۱۰۲ درصدی نشان میدهد.
تهدید مستمر باوجود شناخت بیشتر از تاکتیکها
در ادامه، ” اسنیر لوی “، بنیانگذار و مدیرعامل شرکت Nominis، هشدار داد که آشنایی فزاینده با تاکتیکهای گروه لازاروس، از میزان تهدید آنها نمیکاهد. او به وبسایت Decrypt گفت: ” گروه لازاروس از روشهای گوناگونی برای سرقت رمزارزها استفاده میکند. طبق شکایاتی که از کاربران دریافت میکنیم، میتوان فرض کرد که آنها روزانه در تلاش برای کلاهبرداری از افراد هستند. “
نمونههایی از موفقیت گروه لازاروس در حملات سایبری
حجم برخی از سرقتهای آنها چشمگیر بوده است. در ماه فوریه، هکرها موفق شدند تا بیش از ۱.۴ میلیارد دلار از صرافی Bybit سرقت کنند. این حمله پس از آن انجام شد که گروه لازاروس کارمندی از کیف پول Safe Wallet را فریب داد تا کد مخربی را بر روی سیستم خود اجراء کند. لوی گفت: ” حتی حمله به Bybit نیز با مهندسی اجتماعی آغاز شد. “
از دیگر حملات میتوان به کمپین علیه Radiant Capital اشاره کرد که در آن یک پیمانکار از طریق یک فایل PDF آلوده هدف قرار گرفت. این فایل درِ پشتی به سیستم قربانی باز میکرد.
روشهای متنوع از فیشینگ تا دستکاری قراردادهای هوشمند
روشهای مورد استفاده این گروه شامل فیشینگ (Phishing) ساده، پیشنهادات شغلی جعلی، دستکاری قراردادهای هوشمند (Smart Contract) و دستکاری زیرساختهای ابری هستند. در این حال، افشاء بیتمکس سندی دیگر در تایید راهبردهای چندلایه گروه لازاروس محسوب میشود. این افشاگری پس از گزارشی دیگر در ماه مِی از سوی صرافی Kraken منتشر شد که در آن تلاش یک فرد کُرهای برای استخدامشدن مورد اشاره قرار گرفته بود.
بر این اساس، مقامهای آمریکایی و بینالمللی میگویند کره شمالی از ارزهای دیجیتال سرقتشده برای تأمین مالی برنامههای تسلیحاتی خود استفاده میکند. برخی گزارشها برآورد کردهاند که این سرقتها ممکن است تا نیمی از بودجه توسعه موشکی این کشور را تأمین کنند.
